国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞465个，互联网上出现“WordPress Vanguard跨站脚本漏洞、Metasploit Framework相对路径遍历漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行李伟：“数字鸿沟”问题不容忽视

部分机构在商业利益驱使下，过分追踪与收集用户“数字足迹”，不当使用数据驱动式营销策略，无节制地侵占用户私人空间，引起消费者反感与不适。>>详细

一图速览！2020年国家网络安全宣传周亮点内容抢“鲜”看

2020年国家网络安全宣传周将于9月14日至20日在全国范围内统一开展，主题为“网络安全为人民，网络安全靠人民”。>>详细

开卷识诈:教你识别非法金融广告

非法广告爱吹牛，不谈风险利相诱，资质权责须看清，不贪不信不上钩。>>详细

北京市通信管理局启动APP数据安全检测专项行动

北京管局要求各相关企业按照APP数据安全巡查检测专项行动的工作方案要求，按照《网络安全法》及相关管理规定，认真履行自身数据安全保护主体责任，积极开展自查自纠。>>详细

Cloud PKI平台正式上线 SSL证书轻松管理

Cloud PKI平台能够实现服务器证书的全生命周期管理、域名及身份自动核验等功能。>>详细

新生防骗指南

利息低这事，你要三思。>>详细

有可信数字签名作支撑 智慧司法建设稳了！

实现智慧司法，推进审判体系和审判能力的现代化，离不开信息化建设。而其中，如何实现线上业务的身份认证、完成场景固化及事后追溯尤为关键。>>详细

银保监会发文规范保险公司健康管理服务 内容涉及保护数据安全与个人隐私

未经客户授权不得对外提供客户个人信息或任何健康数据，依法保证数据安全和保护个人隐私。>>详细

安全威胁播报

上周漏洞基本情况

上周（8月31日-9月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞465个，其中高危漏洞131个、中危漏洞274个、低危漏洞60个。漏洞平均分值为5.73。上周收录的漏洞中，涉及0day漏洞77个（占17%），其中互联网上出现“WordPress Vanguard跨站脚本漏洞、Metasploit Framework相对路径遍历漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是一款Web浏览器。上周，上述产品被披露存在安全绕过漏洞，攻击者可利用漏洞绕过安全限制。

CNVD收录的相关漏洞包括：Google Chrome安全绕过漏洞（CNVD-2020-49907、CNVD-2020-49909、CNVD-2020-49908、CNVD-2020-49912、CNVD-2020-49911、CNVD-2020-49910、CNVD-2020-49914、CNVD-2020-49913）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco SD-WAN vManage Software是美国思科（Cisco）公司的一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Prime License Manager Software是一套用于Cisco产品的许可证管理软件。Cisco IOS和Cisco IOS XR都是为其网络设备开发的操作系统。Cisco NX-OS是适用于Cisco Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统。Cisco Connected Mobile Experiences (CMX)是一种智能Wi-Fi解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以root权限执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco SD-WAN vManageSoftware输入验证错误漏洞、Cisco Prime LicenseManager Software信任管理问题漏洞、Cisco IOS和Cisco IOS XR资源管理错误漏洞、Cisco NX-OS远程代码执行漏洞、Cisco NX-OS拒绝服务漏洞（CNVD-2020-49933、CNVD-2020-50288）、Cisco NX-OS命令注入漏洞（CNVD-2020-49932）、Cisco Connected Mobile Experiences权限提升漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

MicrosoftWindows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Excel是一款Office套件中的电子表格处理软件。Microsoft Outlook是一套电子邮件应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Windows和Microsoft Windows Server权限提升漏洞（CNVD-2020-49360、CNVD-2020-49359、CNVD-2020-49358）、Microsoft Windows和Microsoft Windows Server远程代码执行漏洞（CNVD-2020-49363）、Microsoft Excel内存破坏代码执行漏洞、Microsoft Excel远程代码执行漏洞（CNVD-2020-50145、CNVD-2020-49506）、Microsoft Outlook代码执行漏洞。其中，除 “Microsoft Windows和Microsoft Windows Server权限提升漏洞（CNVD-2020-49360、CNVD-2020-49359）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM i2 Analysts Notebook是美国IBM公司的一款数据可视化分析工具。IBM Sterling Connect：Direct是一套基于文件的点对点文件传输解决方案。IBM Security Guardium DataEncryption (GDE)提供了一组模块化的加密解决方案，可帮助安全团队有效地实现整个组织的静态数据安全性。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，导致缓冲区溢出等。

CNVD收录的相关漏洞包括：IBM i2 Analysts Notebook缓冲区溢出漏洞（CNVD-2020-49391、CNVD-2020-49392、CNVD-2020-49393、CNVD-2020-49394、CNVD-2020-49395）、IBM SterlingConnect:Direct for UNIX栈缓冲区溢出漏洞、IBM Security Guardium DataEncryption (GDE)硬编码凭据漏洞、IBM Security Guardium DataEncryption (GDE)任意命令执行漏洞。其中，“IBM Sterling Connect:Directfor UNIX栈缓冲区溢出漏洞、IBM Security Guardium DataEncryption (GDE)硬编码凭据漏洞、IBM Security Guardium DataEncryption (GDE)任意命令执行漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Red Hat oVirt跨站脚本漏洞

Red Hat oVirt是美国红帽（Red Hat）公司的一套开源的虚拟化管理平台，是RHEV（企业虚拟化平台）的开源版本，由ovirt-node客户端和overt-engine管理端组成。上周，Red Hat oVirt被披露存在跨站脚本漏洞。远程攻击者可利用该漏洞实施钓鱼攻击，窃取用户cookie或其他敏感信息，或冒充其他用户。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制。此外，Cisco、Microsoft、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码，导致拒绝服务，缓冲区溢出等。另外，Red Hat oVirt被披露存在跨站脚本漏洞。远程攻击者可利用该漏洞实施钓鱼攻击，窃取用户cookie或其他敏感信息，或冒充其他用户。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、银保监会、网信中国、北京市通信管理局、第一财经报道

责任编辑：韩希宇